Mot-clé - livre blanc

Fil des billets - Fil des commentaires

30mar. 2018

Que retenir de la revue stratégique de cyberdéfense?

revue_sgdsn.png En février 2018 a été publié la Revue stratégique de cyberdéfense. Ce document inédit est présenté comme un véritable libre blanc sur la cyber défense. Écrit par le secrétariat général à la défense nationale, c'est en effet le premier document de niveau politique entièrement dédié à ce domaine qu'avait toutefois largement investi le livre blanc de la défense de 2013 et la revue stratégique de novembre 2017.

Cette revue fait d'abord un état des lieux des acteurs et de la menace, il décrit le modèle français de cyberdéfense et propose des améliorations, il ouvre enfin des perspectives visant à améliorer la cybersécurité de la société française.

Nous vous proposons dans cet article d'en résumer les éléments principaux et nous livrons à une courte critique de celui-ci. Le document est téléchargeable ici.

Lire la suite...

04juin 2013

Une montée en puissance de la cyber-défense aux accents bretons

Hier, le ministre de la défense est intervenu au cours d'un colloque organisé à l’École des Transmissions de Rennes. On connait l'attachement de Jean-Yves Le Drian à la Bretagne, et le ministre n'a pas manqué de placer sa région, en proposant un pôle d'excellence de la cyber-défense:

« Ce pôle pourrait se traduire par un projet ambitieux qui pourrait naître ici. Parce que, en matière de défense, nous avons deux creusets - et c’est la mission que je leur donne - les écoles de Saint-Cyr Coëtquidan et l’école des transmissions. Et, autour, il y a des partenariats avec les grandes écoles de Bretagne, des grands centres universitaires de la région, et une volonté des élus locaux et régionaux. Il faut les réunir et les porter dans une dynamique commune. Le ministère est déterminé à y contribuer » (source Ouest France)

Jean-Yves Le Drian à Rennes le 3 juin Jean-Yves Le Drian à Rennes le 3 juin (Crédit photo Ouest France)

Son allocution a confirmé les lignes directrices fixées dans le livre blanc, à savoir: le développement de capacités de cyber-offensives et une augmentation des moyens budgétaires, mais aussi la création de la cyber-réserve, dont nous sommes impatients de voir la concrétisation. Dans un contexte de réduction d'effectif à la défense, le ministre a annoncé que 350 personnels supplémentaires seraient affectés à la cyber-défense.

Surtout, le ministre a annoncé une colocalisation de l'ANSSI et de la chaînes des "cyber-armes". Ce rapprochement a du sens et devrait, selon nous, constituer le point de départ d'un secrétariat d’État au cyberespace comme nous le défendions dans cet article.

Le pays breton abrite de prestigieuses écoles d'informatique et de télécommunication, mais il est loin d'être le seul. Ainsi le favoritisme du ministre affiché à la fois pour la région (Bretagne) et la couleur de l’uniforme (armée de terre) ne rend peut-être pas justice à la cyber-défense: une priorité à la fois nationale, inter-armées, voire inter-ministérielle.

EDIT 1: le texte intégral du discours ici.

29avr. 2013

Livre blanc: la cyberdéfense mise en avant.

Le livre blanc sur la défense et la sécurité nationale (LBDSN) a été remis officiellement au président François Hollande ce matin. Plus réaliste au vu des contraintes budgétaires, sans rompre complètement avec le précédent opus, celui-ci s'apparente à un recadrage des ambitions françaises.

Surtout, en dehors d'une homothétie du format des armées, le livre blanc de 2013 est marqué par l'essor du cyberespace et du risque de cyberattaques qui "constituent une menace majeure, à forte probabilité et à fort impact potentiel". Déjà, le préfixe "cyber" apparaît 36 fois (hors sommaire) pour 160 pages, quand il apparaissait, en 2008, seulement 6 fois pour 350 pages. C'est un facteur 10, et c'est un signe que le domaine devient un aspect fondamental de la défense et sécurité de la France:

"Le cyberespace est donc désormais un champ de confrontation à part entière."

Ainsi le LBDSN 2013 affirme que le dispositif de cyberdéfense est appelé à s’amplifier "dans les années qui viennent". De quelle manière le LBDSN entend développer ces capacités ?

Un renforcement des capacités militaires de cyberdéfense

Le LBDSN parle de capacités défensives et offensives et d'une chaîne opérationnelle de cyberdéfense "centralisée à partir du centre de planification et de conduite des opérations de l’état-major des armées". La DGA se voit confier le volet technique sans qu'une allusion à la DIRISI ne soit faite, ce qui marque selon nous un désir de conserver cet acteur sous la coupe du chef d'Etat-major des armées.

Milieu à part entière, le cyberespace se voit donc logiquement intégrer la posture permanente de sécurité (PPS). La PPS concernait la protection de notre territoire, de nos approches maritimes et aériennes mais aussi spatiales[1]. Le LBDSN inclut le cyberespace dans la protection du territoire et parle de "posture de cybersécurité". Nous sommes ici dans l'incantation et il faudra peut être définir plus précisément ce concept, quitte à créer au niveau national un niveau de cyber-menace comme ce qui est fait au sein des forces armées ou pour le plan Vigipirate.

Le LBDSN veut instituer une nouvelle composante de la réserve opérationnelle dédiée à la cyberdéfense. Il insiste surtout sur la capacité à identifier l'origine des attaques et d'évaluer les capacités d'adversaires potentiels.

Le LBDSN aborde également l'effort à fournir en terme de moyens humains "à la hauteur des efforts consentis par nos partenaires britannique et allemand". Ce vœu doit être rapproché du rapport Bockel sur la cyberdefense qui affirmait: “Avec des effectifs qui devraient être de 230 personnes et un budget de l’ordre de 75 millions d’euros, les effectifs et les moyens de l’ANSSI sont encore très loin de ceux dont disposent les services similaires de l’Allemagne ou du Royaume- Uni, qui comptent entre 500 et 700 personnes.”

Enfin le LBDSN insiste sur la nécessaire augmentation du volume des experts en informatique, et de la coopération avec nos partenaires, notamment le Royaume-Unis et Allemagne.

Des réponses aux agressions informatiques majeures

Comme évoqué récemment dans la presse, le LBDSN précise que les activités d'importance vitale verront leur standard de sécurité informatique fixé par un dispositif législatif et réglementaire.

Enfin, il est abordé une doctrine de réponse aux agressions informatiques majeures. Celle-ci repose sur deux manœuvres: celle de la prévention qui sera coordonnée sous l'autorité du premier ministre. Et celle de l'intervention qui se veut être une réponse globale et ajustée faisant appel à divers moyens diplomatiques, juridiques et policiers. En fonction des circonstances, les moyens de la défense seraient utilisés de façon graduée.

Un livre blanc de crise où la cyberdéfense voit son poids renforcé

Ainsi au milieu des réductions tout azimut, la cyberdéfense voit son importance affirmée. Il reste à voir en fin d'année si ces mots seront suivis d'effets budgétaires, lors de la loi de programmation militaire.

Note

[1] L'armée de l'air possède des capacités de détection et de suivi des objets spatiaux, notamment grâce au radar GRAVES

18janv. 2013

2013, année de transition

2012 est déjà dans nos rétroviseurs, 2013 s'avance. Voici l'occasion pour nous de tirer les principaux enseignements de l'année passée, et de tenter de scruter l'horizon qui s'ouvre devant nous.

2012, l'indétermination.

2012 a révélé que le monde était plus complexe qu'une simple convergence des intérêts mondiaux sur fond de liberté (au sens large: liberté de l'homme, libéralisation des flux et de l'économie). Les conséquences des révolutions de jasmins sont encore floues. Le dynamisme économique en Chine et plus généralement dans les pays émergents s’essouffle. La situation en Europe -mais aussi aux États-Unis; sur fond de crise budgétaire, est confuse.

Ainsi 2012 a apporté plus de questions que de réponses. Elle nous laisse cependant le sentiment que tout reste ouvert: la possibilité d'une reprise économique dans les pays occidentaux; le règlement pacifique des crises en Afrique sub-saharienne et au Moyen Orient.

Un recul de la gouvernance mondiale

2012 apporte selon nous un premier stigmate du monde de demain. D'abord nous notons un recul de la gouvernance mondiale. Aux Nations Unies mais aussi dans les domaines spécialisés comme l'internet, où le sommet de Dubaï a montré un clivage entre les pays. L’Union Européenne peine à voter un budget. Les grandes dynamiques d'intégration sont en perte de vitesses. En 2012,la problématique du droit des cyberconflit a été abordée dans le "Manuel de Tallinn", mais reste selon nous une tentative normative par l'Ontccident plus qu'un consensus général sur la question (qui aurait davantage sa place aux Nations Unies).

Comme les crises récentes le démontre (Lybie, Mali, ...) l’État reste le pivot central des initiatives de sécurité.

Physionomie des opérations militaires

Dans ce contexte, les opérations militaires ne subiront pas de révolutions. Les guerres de type asymétrique, et contre-insurectionnelles resteront la norme. Nous sommes convaincus que la probabilité extrêmement faible d'une guerre de haute intensité devrait porter d'emblée les armées occidentales vers un renforcement de la projection de puissance au meilleur coût. En effet celles-ci devrait être adaptées aux crises probables, car, comme on a pu le constater ces dix dernières années, la gamme d'outils occidentale, trop tournée vers la haute intensité, est inadaptée à la cible principale à traiter de cette décennie: le pick-up. Pour remplir ce contrat, il faudrait acquérir des vecteurs aériens adaptés au support des opérations au sol de type A10 et renforcer la capacité en hélicoptère de combat et de manœuvre.

La permanence devrait également être l'objet de toutes les intentions. En France, la capacité drone est indigente et il est urgent d'acquérir sur étagère un nombre de drones armés suffisants pour couvrir un théâtre d'opération.

Firemen Wip

2013, poursuite d'une transition vers une paix globale et l'instabilité locale

2013 nous rappelle à l'ordre, car après des réflexions sur la maritimisation, l'OTAN, la cyber-défense, nous voilà repartis dans une opération africaine, qui n'est pas sans rappeler l'opération Tacaud des années 70...

A cet égard l'année à venir nous confirmera peut être une réalité esquissée par Pierre Hasner d'une "nuit où toutes les guerres et toutes les paix sont grises". Le monde s'enfoncerait alors durablement dans ce que Frédéric Gros décrivait comme des "états de violences". Les armées occidentales avec l'aide d'acteurs locaux deviendraient alors des pompiers du monde, chargés d'éteindre ici ou là des incendies. La guerre totale, le choc inhumain et rangé de deux forces militaires, une antiquité.

Dès lors, la conflictualité entre les États se concentrerait dans la sphère cyber ou le soft-power, donnant raison à l’essai de Quiao Liang et Wang Xiangsin, la guerre hors limite. Nous ne pouvons écarter l'hypothèse selon laquelle dans un siècle, les historiens décriront notre siècle comme celui marquant la fin de la prépondérance de la chose militaire pour (re)distribuer les cartes de la puissance.

16oct. 2012

Nos 5 propositions pour le livre blanc de la défense et la sécurité nationale

A l'heure où la commission s'active pour actualiser le livre blanc de 2008, nous constatons que pour la cyber-défense les résultats du précédent opus ne sont pas là. La France tarde à prendre la mesure de l'importance de ce domaine. La nouvelle fonction stratégique "connaissance et identification" n'a pas non plus été particulièrement développée. Aussi voulons nous formuler 5 propositions qui pourraient être incluses dans le prochain livre blanc de la défense et sécurité nationale. Celles ci ont été formulées en tenant compte d'un contexte budgétaire dégradé: elles ne sont donc pas une utopique liste reposant sur un gonflement du budget de la défense.

1. Généraliser l'utilisation du logiciel libre dans les systèmes d'information de l’État et les infrastructures critiques

Ce principe est le fondement d'un univers cyber sécurisé. Les logiciels propriétaires (i.e. dont le code n'est pas public) peuvent comporter des portes dérobées (back-door en anglais) et des vulnérabilités dont la correction dépend du bon vouloir de l’entreprise ayant fourni le logiciel. A l'opposé: le code libre est transparent, il bénéficie d'une communauté qui peut y participer et corriger les erreurs et vulnérabilités.

En ce qui concerne la cryptographie, on peut traduire ce paradigme par le principe de Kerckhoffs; l’algorithme peut être connu de tous: sa sécurité repose sur la clé, et seulement sur la clé. Cette transparence doit également s'appliquer aux équipements d'infrastructures critiques (routeurs, contrôleurs industriels...) qui devront posséder des micrologiciels (firmware en anglais) libres[1].

Ce principe est par ailleurs vertueux: non seulement on augmente la sécurité mais en plus on diminue le coût, le logiciel libre étant gratuit. Il faut rendre obligatoire l'informatique libre dans tous les ministères.

2. Créer une cyber-garde républicaine.

La communauté de développeurs et d'experts informatiques française est dynamique. Nous possédons parmi les meilleurs programmeurs mondiaux, héritage d'un fort enracinement des mathématiques dans notre système scolaire. A la manière de ce qui se fait pour le logiciel libre: la contribution d'une communauté mettant ses compétences au profit d'un projet, il faut tenter la même expérience dans la cyber défense.

Ainsi il serait possible d'intégrer dans une cyber-garde républicaine ou cyber-réserve les talents d’informaticiens, sélectionnés pour leur compétences dans des domaines variés. L'avantage c'est qu'il est inutile de fournir une arme ou un uniforme à ces personnes qui disposent déjà des instruments pour appuyer et renforcer l’État. Ceux-ci pourraient se voir confier une mission particulière (participer à un développement, traquer des bugs et des failles dans un logiciel, ou faire du reverse engineering....) ou conserveraient une certaine autonomie dans des domaines de recherches. Ces réservistes bénéficieraient d'équivalent-grades et de rémunérations similaires à ceux de la réserve opérationnelle, en leur versant en fonction de leurs contribution l'équivalent de 10, 20 ou 30 jours d'activité.

3. Créer un secrétariat d’État au cyberespace

Aujourd'hui, l'action de l'état dans le cyberespace est éparpillée entre plusieurs ministères, et coordonnée de manière plus ou moins heureuse pour ce qui concerne la sécurité par le SGDSN. L'importance du cyberespace aujourd'hui devrait justifier à elle seule la création d'un secrétariat d'état, qui décloisonne le développement et l'économie numérique de la sécurité. A cet égard, la sécurité du cyberespace est trop critique pour être seulement coordonnée par le secrétariat général de la défense et sécurité nationale.

Comme aujourd'hui où la direction du budget de Bercy encadre l'action de chaque ministère en matière de budget, ce secrétariat serait chargé de toutes les questions en relation avec le cyberespace de chaque ministère. Cet opérateur commun devrait donc voir certains effectifs jusqu'alors détenus par chaque ministère lui être transférés (y compris des effectifs de la DIRISI[2]). Cette rationalisation au niveau inter ministériel des SIC apporterait cohérence et économie.

Le directeur de la sécurité du secrétariat d'état au cyberespace devra être alternativement un militaire.

4. Renforcer au sein des forces armées l'organisation des systèmes d'informations

Au sein du ministère de la défense, il faut renforcer le rôle de la DIRISI en lui transférant un maximum de SIC que les armées gardent encore en propre en vertu de leur caractère spécialisé. La DIRISI doit se recentrer sur un cœur de métier qui serait l'opérationnel, tout en conservant un rôle d'interface avec le secrétariat d'état au cyberespace. Le CALID[3] resterait sous la coupe de la DIRISI; et de même un laboratoire de lutte informatique offensive serait créé. La montée en puissance de la DIRISI, qui devra rester sous les ordres du CEMA pour marquer son caractère opérationnel, pourrait conduire à moyen terme à la naissance d'une quatrième arme: celle du cyberespace.

La DIRISI bénéficiera d'une double subordination au CEMA et au Secrétaire d’État au cyberespace qui sera en mesure de demander son concours pour des missions particulières. A la manière de ce qui se pratique dans l'organisation territoriale de la défense, pour laquelle les militaires apportent leur concours pour les opérations intérieures, la DIRISI apportera son expertise et ses moyens.

5. Créer un Événement autour de la cyber-défense et cyber-sécurité de dimension majeure

Il existe certains rassemblements privés tel la Hack in Paris par exemple. Ici le but serait de créer un rassemblement similaire qui serve les intérêts de la Nation. Comment ? D'abord en permettant de recruter. En faisant découvrir les métiers des armées, ou encore la cyber-réserve évoquée plus haut. Ensuite en créant plusieurs concours dotés de prix importants. Les concours créent l’émulation et permettent de comparer le talents des informaticiens. Dans la sphère informatique, la compétition est une valeur fondamentale, comme les coding-parties[4] peuvent l'illustrer.

Cette manifestation devrait proposer plusieurs "challenges" et plusieurs catégories: des lycéens jusqu'aux professionnels du secteur, en équipe et/ou en individuel. En dotant ce concours d’au moins 1 million d'euros de prix, on s'assurerait d'une participation de très haut niveau. Cette somme apparaît dérisoire en comparaison par exemple du budget de fonctionnement de la HADOPI (10 millions d'euros en 2012), qui se révèle d'une utilité plus que contestable [5].

Certaines catégories pourraient être ouvertes à la compétition internationale, car dans ce domaine il s'agit aussi d'attirer des talents étrangers.

Cette grande manifestation serait le moment privilégié pour le recrutement et la communication de l’État vers la communauté informatique et le grand public.

Conclusion

Le futur livre blanc est l'occasion pour le politique de marquer l'importance accordée au cyberespace. Dans un contexte budgétaire contraint, il y a pourtant tout lieu d'être optimiste. En effet, la défense du cyberespace repose d'abord sur l'homme et l'intelligence plus que sur l'équipement. Cette dépendance donne du sens à nos propositions.

Notes

[1] De fait, une telle mesure rendrait caduque la polémique sur les routeurs chinois, puisque ceux-ci devraient posséder un code totalement transparent ...

[2] La Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information est l'opérateur des SIC du ministère de la défense, voir notre article ici

[3] Centre d'analyse de lutte informatique défensive, une présentation ici

[4] Rassemblement de programmeurs qui ont un temps donné pour créer une œuvre dans un domaine varié, voir ce site pour des exemples

[5] comme l'illustre ses résultats

31juil. 2012

Le rapport Bockel

Le rapport "Bockel" sur la cyber défense va bientôt être digéré par la blogosphère française, aussi est-il temps pour nous d'aborder ce rapport public du Sénat, qui a fait couler beaucoup d'encre.

Lire la suite...

28juil. 2012

Les capacités industrielles critiques

Du fait du cycle électif, le Sénat a bénéficié cette année de davantage de temps et de recul pour élaborer ses réflexions autour de notre politique de défense. Le mois de juillet a vu plusieurs rapports d'information parlementaires dont le rapport dit "Bockel" sur la cyber-défense. Un autre rapport, passé plus inaperçu, mais également intéressant (surtout à la veille d'une nouvelle loi de programmation militaire) porte sur les capacités industrielles souveraines - capacités industrielles militaires critiques.

On se souvient que dans le livre blanc sur la défense et la sécurité on pouvait lire qu'au rang des "priorités technologiques et industrielles découlant des objectifs stratégiques de la sécurité nationale à l’horizon 2025" figurait:

Secteur de la sécurité des systèmes d’information Le développement des menaces sur les systèmes d’information et les réseaux implique de disposer de capacités industrielles nationales solides permettant de développer une offre de produits de sécurité et de cryptologie totalement maîtrisés au niveau national. Ces capacités sont aujourd’hui insuffisantes et dispersées. La France établira une stratégie industrielle, permettant le renforcement de capacités nationales de conception et de réalisation dans le domaine de la sécurité des systèmes d’information.

La parution de ce rapport est donc l’occasion de s’interroger sur les capacités dont dispose la France pour faire face au défi d'un domaine à la très haute technicité, et donc à de fortes exigences en terme de stratégie industrielle et de capacité de recherche et développement.

Lire la suite...

19mar. 2012

Livre Blanc 2012, les préparatifs

couverture du document préparatoire au LBDSN Le SGDSN (Secrétariat Général pour la Défense et la Sécurité Nationale) a publié le mois dernier un document préparatoire au futur livre blanc de la défense, qui devait être réactualisé cette année. Au vu des échéances électorales, il ne faut pas s'attendre à voir celui-ci trop tôt cependant.

Ce document préparatoire est un état des lieux consensuel mais toutefois réaliste de la situation sécuritaire mondiale. C'est un bon document de synthèse qui passe en revue les différentes tendances à venir à l'horizon d'une dizaine d'années.

Lire la suite...